abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 11:00 | Zajímavý software
Na Good Old Games je v rámci aktuálních zimních slev zdarma k dispozici remasterovaná verze klasické point&click adventury Grim Fandango, a to bez DRM a pro mainstreamové OS včetně GNU/Linuxu. Akce trvá do 14. prosince, 15:00 SEČ.
Fluttershy, yay! | Komentářů: 1
dnes 07:22 | Pozvánky

Konference InstallFest 2018 proběhne o víkendu 3. a 4. března 2018 v Praze na Karlově náměstí 13. Spuštěno bylo CFP. Přihlásit přednášku nebo workshop lze do 18. ledna 2018.

Ladislav Hagara | Komentářů: 0
včera 20:22 | Nová verze

Před měsícem byla vydána Fedora 27 ve dvou edicích: Workstation pro desktopové a Atomic pro cloudové nasazení. Fedora Server byl "vzhledem k náročnosti přechodu na modularitu" vydán pouze v betaverzi. Finální verze byla naplánována na leden 2018. Plán byl zrušen. Fedora 27 Server byl vydán již dnes. Jedná se ale o "klasický" server. Modularita se odkládá.

Ladislav Hagara | Komentářů: 2
včera 10:22 | Zajímavý článek

Lukáš Růžička v článku Kuchařka naší Růži aneb vaříme rychlou polévku z Beameru na MojeFedora.cz ukazuje "jak si rychle vytvořit prezentaci v LaTeXu, aniž bychom se přitom pouštěli do jeho bezedných hlubin".

Ladislav Hagara | Komentářů: 13
včera 07:22 | Komunita

Od 26. do 29. října proběhla v Bochumi European Coreboot Conference 2017 (ECC'17). Na programu této konference vývojářů a uživatelů corebootu, tj. svobodné náhrady proprietárních BIOSů, byla řada zajímavých přednášek. Jejich videozáznamy jsou postupně uvolňovány na YouTube.

Ladislav Hagara | Komentářů: 0
11.12. 19:22 | Nová verze

Ondřej Filip, výkonný ředitel sdružení CZ.NIC, oznámil vydání verze 2.0.0 open source routovacího démona BIRD (Wikipedie). Přehled novinek v diskusním listu a v aktualizované dokumentaci.

Ladislav Hagara | Komentářů: 0
11.12. 09:22 | Pozvánky

V Praze dnes probíhá Konference e-infrastruktury CESNET. Na programu je řada zajímavých přednášek. Sledovat je lze i online na stránce konference.

Ladislav Hagara | Komentářů: 2
9.12. 20:11 | Nová verze

Byl vydán Debian 9.3, tj. třetí opravná verze Debianu 9 s kódovým názvem Stretch a Debian 8.10, tj. desátá opravná verze Debianu 8 s kódovým názvem Jessie. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 9 a Debianu 8 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 5
9.12. 00:44 | Nová verze

Po 6 měsících vývoje od vydání verze 0.13.0 byla vydána verze 0.14.0 správce balíčků GNU Guix a na něm postavené systémové distribuce GuixSD (Guix System Distribution). Na vývoji se podílelo 88 vývojářů. Přibylo 1 211 nových balíčků. Jejich aktuální počet je 6 668. Aktualizována byla také dokumentace.

Ladislav Hagara | Komentářů: 4
8.12. 21:33 | Nová verze

Po půl roce vývoje od vydání verze 5.9 byla vydána nová stabilní verze 5.10 toolkitu Qt. Přehled novinek na wiki stránce. Současně byla vydána nová verze 4.5.0 integrovaného vývojového prostředí (IDE) Qt Creator nebo verze 1.10 nástroje pro překlad a sestavení programů ze zdrojových kódů Qbs.

Ladislav Hagara | Komentářů: 0
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (8%)
 (1%)
 (1%)
 (1%)
 (75%)
 (14%)
Celkem 973 hlasů
 Komentářů: 45, poslední 1.12. 19:00
    Rozcestník

    Dotaz: openvpn poloviční bridge

    25.5.2007 21:52 vpn
    openvpn poloviční bridge
    Přečteno: 845×
    Mám klienta a server. Klient má eth0 192.168.20.5, tap0 10.1.0.2, server má eth0 192.168.0.4, tap0 10.1.0.1. Můj cíl je dostat se do sítě 192.168.0.0/24. Nevím ale jak nastavit routy. Poradíte mi? DOstal jsem se k tomu, že ze serveru pingnu na 192.168.20.5 a z klienta na 192.168.0.4, ale dál už se nedostanu.

    Odpovědi

    26.5.2007 10:30 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Prosím poraďte, můj kamarád to řeší maškarádou, ale já bych to chtěl naroutovat.
    26.5.2007 11:23 Bazin | skóre: 10 | Velvary
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Ja to řešil pomocí Bridge a na to sem spachtil takovjedle skriptík :
    #!/bin/bash
    
    #################################
    # Nastavení Skriptu pro Ethernet bridge
    #Vpn a Natování 
    #################################
    
    # nazev Brdige 
    br="br0"
    
    #VPN adapter
    tap="tap0"
    
    
    #Nastavení  sitovky
    eth="eth0"
    eth_ip="192.168.1.5"
    eth_netmask="255.255.0.0"
    #ip adresa Gateway na internet 
    gat="192.168.1.1"
    #Stop Vpn serveru
    /etc/init.d/openvpn stop
    
    #otevreme Tap0
    
    for t in $tap; do
        openvpn --mktun --dev $t
    done
    
    
    #vymazem Ip adresy 
    for t in $tap; do
    ip addr flush dev $t
    done
    
    for t in $eth; do
    ip addr flush dev $t
    done
    
    #Promsic mod nastavíme na obe sitovky
    for t in $tap; do
    ifconfig  $t promisc up
    done
    
    for t in $eth; do
    ifconfig  $t promisc up
    done
    
    #pridame br0
    brctl addbr $br
    brctl addif $br $eth
    
    for t in $tap; do
        brctl addif $br $t
    done
    
    #nazhavime br0
    
    ifconfig $br $eth_ip netmask $eth_netmask up 
    
    #startujem VPN
    
    /etc/init.d/openvpn start
    #PRIDAME GATEWAJ
    route add default gateway $gat 
    26.5.2007 10:40 mozog | skóre: 28
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    ip route add 192.168.0.0/24 via 10.1.0.1 nepomaha ?
    26.5.2007 11:29 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    To ale musim mit na klientu ne?, a to mam, jinak bych se nedostal na druhou stranu na server. Problem je v tom, ze se nenaroutuju do ty vzdaleny site na strane serveru, dostanu se jen na vsechna rozhrani toho serveru.
    26.5.2007 23:56 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Jak to naroutuju na serveru?
    27.5.2007 10:52 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    nijak dokud se to nenaučís....něco si laskavě přečti a nebo by stačilo projevit trochu snahy s vyhledáváním.
    27.5.2007 10:58 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Fakt úžasná rada, jinde jsem se akorát dočetl, že je potřeba použít maškarády, ale někdo někde napsal, že to jde i bez ní a tak mě zajímá jak????
    27.5.2007 16:29 Bazin | skóre: 10 | Velvary
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    a hele proč to chceš routovat , když to je pohodlně pomocí Bridge a neni to zas tak těžký ???
    27.5.2007 16:44 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Tak pokud se ptáš tak blbě
    Jak to naroutuju na serveru?
    tak mi to připadá, že na linuxu umíš houby. A jestli na něm umíš houby, tak by ses mohl první naučit základy a pak šťourat do pokročilejších věcí. Jinak na openvpn.net je to v howto popsané krásně krok za krokem. Jak s použitím bridge, tak i s "routováním". Vyloženě je to tam napsané jak pro "blbce". Takže začni tam.
    27.5.2007 19:09 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Routovat umím, naroutoval jsem už toho hodně. Jen tady se to nechce vůbec chytit. Postupoval jsem standartně: mám routu na tap0, takže se dostanu na druhou starnu an všechna rozhraní serveru ale dál ne, bez maškarády se nehnu, tak sakra jak to udělat? Routy na druhý straně mám taky a nefunguje to. A bridge je most mezi sítěmi, což je trochu zbytečný, když chci připojit 1 klienta ke vzdálený síti. I návody mluvěj o maškarádě u mýho řešení, tak se ptám jestli to jde i naroutovat příp jak a tak mi tady nenadávejte, když asi ani nevíte o co jde.
    28.5.2007 16:45 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    jak to máš vůbec nastavené? Jako roadwarrior, nebo tunel pro jednoho klienta? Sdílíš certifikát nebo máš pro každého klienta vlastní? Zkus tohle (rozsahy si doplň sám, udávám jen příklad):

    push "route 192.168.1.0 255.255.255.0" ... tvůj VPN klient dostává IP z tohoto rozsahu
    push "redirect-gateway" ... tzn. že vzdálený (VPN) server bude zároveň výchozí bránou. Takže cokoli co tvůj PC nezná bude posláno na něj.

    Snad nekecám, protože to píšu z hlavy. Jinak žádné jiné routování není potřeba nastavovat (alespoň ve Slackware). OpenVPN mi všechno ostatní obstaralo samo. Včetně routy, včetně IP a ostatních volovin.

    PS: vím o co jde, jinak bych se tu neunavoval.
    PS1: nenadávám ti, nastavoval jsem to taky z openvpn.net a na poprvé to chodilo.
    PS2: vykat mi teda nemusíš.
    28.5.2007 18:06 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Dobře, já už totiž nemám trpělivost, protože se to takovou dobu snažím nastavit a nic. Asi tam mám nějakou chybku ale nemážu na to kápnout. To redirect-gateway tam nechci, bránu chci mít moji. Parsnu sem konfigurák serveru a klienta. Trochu jsem pozměnil IP adresy, ale to je tam vidět.
    server:
    
    mode server
    tls-server
    dev tap0
    ifconfig 10.1.0.1 255.255.255.0
    ifconfig-pool 10.1.0.2 10.1.0.140 255.255.255.0
    push "route 192.168.1.0 255.255.255.0 10.1.0.1"
    push "dhcp-option 192.168.1.1"
    port 1194
    duplicate-cn
    
    ca /etc/openvpn/ca.crt
    cert /etc/openvpn/server.crt
    key /etc/openvpn/server.key
    dh /etc/openvpn/dh2048.pem
    
    log-append openvpn.log
    
    user openvpn
    group openvpn
    comp-lzo
    verb 3
    
    keepalive 10 120
    tls-auth ta.key 0
    
    persist-key
    persist-tun
    verb 2
    status openvpn-status.log
    
    plugin /usr/include/openvpn/auth/auth-passwd/openvpn-auth-passwd.so openvpn
    
    routy: 
    10.2.0.0/24 dev eth0  proto kernel  scope link  src 10.2.0.4
    192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.4
    10.1.0.0/24 dev tap0  proto kernel  scope link  src 10.1.0.1
    default via 192.168.1.1 dev eth0
    
    
    KLIENT:
    
    remote IP
    tls-client
    port 1194
    dev tap0
    pull
    mute 10
    
    dhcp-option DOMAIN DOMENA
    dhcp-option DNS 192.168.1.1
    
    ca ca.crt
    cert client.crt
    key client.key
    
    comp-lzo
    ping 10
    ping-restart 60
    ping-timer-rem
    verb 3
    ns-cert-type server
    
    persist-key
    persist-tun
    tls-auth ta.key 1
    
    auth-user-pass
    
    routy:
    192.168.54.0/24 dev eth0  proto kernel  scope link  src 192.168.54.5
    192.168.1.0/24 via 10.1.0.1 dev tap0
    10.1.0.0/24 dev tap0  proto kernel  scope link  src 10.1.0.2
    169.254.0.0/16 dev eth0  scope link  metric 1000
    default via 192.168.54.1 dev eth0
    
    
    30.5.2007 16:27 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    No tak prvně, máš ten konfigurák jinačí jak já. Asi jiná verze OpenVPN (1.x) já používám 2.0 ... opravdu netuším. Pak mi připadá vše OK ... jestliže máš routy v obou PC nastavené, tak by to mělo chodit. Jediný problém může být forwarding, netfilter. Nic lepšího mě nenapadá.
    30.5.2007 16:52 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Mám verzi 2, ale v tom bych problém nehledal.
    30.5.2007 19:00 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    no já mám verzi dva, vycházel jsem z konfiguráků, co jsou i na webu a chodí to naprosto super. Je to krásně a bohatě okomentované. http://openvpn.net/howto.html#server a http://openvpn.net/howto.html#client
    30.5.2007 20:49 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    No konfiguráky mi připadají ok, ale v tom návodu je tun zařízení, přes který podle manuálnu nemůžou procházet broadcast pakety a ty já potřebuju.
    31.5.2007 17:05 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    A co ti bráni tomu (tak jako mě) tun zařízení zakomentovat a použít tap? Je to přece jen vzorový konfigurák, můžeš jej pozměnit k obrazu svému. Už mě je to furt dokola, přikládám svůj a tímto se všem omlouvám za jeho délku:
    local xxx.xxx.xxx.xxx
    port 1194
    proto udp
    dev tap
    
    ca ca.crt
    cert server.crt
    key server.key
    dh dh1024.pem
    
    server 10.144.146.0 255.255.255.0
    ifconfig-pool-persist ipp.txt
    
    push "route 10.144.146.0 255.255.255.0"
    client-config-dir ccd
    push "redirect-gateway"
    push "dhcp-option DNS 10.144.144.1"
    client-to-client
    
    keepalive 10 120
    comp-lzo
    
    user nobody
    group nobody
    
    persist-key
    persist-tun
    
    status /var/log/openvpn-status.log
    log-append  /var/log/openvpn
    verb 3
    
    28.5.2007 22:29 Martel
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    možná blbej dotaz, ale co forwarding, máte povolenej?
    28.5.2007 22:58 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    To jsem se nedíval. To je pravda, pokud nenaběhl skript, kterej mi tohle nahazuje tak nemám. Ozvu se.
    29.5.2007 06:49 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Jo tak forwarding povolenej mám.
    29.5.2007 13:00 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Kde jeste hledat chybu?
    29.5.2007 23:25 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Proč neroutuje ta brána? Není potřeba nastavit nějaká prerouting aj, ve firewallu?
    30.5.2007 11:11 Martel
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    v preroute bych asi nic být nemělo, spíš jak vypadá FORWARD. Věci v PRE(POST)ROUTE by v tom zmatek udělat mohly.
    30.5.2007 10:51 Martel
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Jo a jak vypadají iptables?
    30.5.2007 10:50 Martel
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Podle pravidla "nejjednodušší chyby se nejhůř hledaj" - na compu na kterej se chceš připojit, default gateway je adresa vpn serveru?
    30.5.2007 11:08 Martel
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Máš tady uvedený různý verze IP adres, je v tom trochu zmatek. Ale na straně serveru nevidím route informaci pro síť klienta! Zkus kdyžtak traceroute z obou stran, ať je vidět, kam ty pakety dolezou.
    30.5.2007 12:53 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Tabulky v iptables mám prázdý. Já spíš myslel, jestli tam nemá být něco nastaveno. Ta route informace i když tam byla, tak to nejele. A ta default gateway na serveru není adresa vpn serveru, ale to by snad nemělo vadit ne? I když jsem nastavil source base routing, tak to nepomohlo. Nastavil jsem: pokud provoz přichází od klienta 192.168.54.5, máš defaultní bránu ip adresu vpn serveru.
    31.5.2007 06:25 misace
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge

    ještě musí být v síti na straně serveru (192.168.0.0/24) routovací záznam, že vše co jde ke klientovi (192.168.20.5, 10.1.0.2) neposílej na defaultní bránu, ale na ovpn server. Budto se ta routa přidá na počítače na který chceš přistupovat nebo na defaultní bránu sítě 192.168.0.0 .

    Bez toho ti paket na cílový počítač dojde, ale odpověd se pak z něj špatně pošle na defaultní bránu někam do internetu...

    31.5.2007 11:46 Martel
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Přesně to jsem chtěl říct předchozím dotazem
    31.5.2007 18:03 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Tak malá změna. Klient:
    root@vasek:/home/vasek# ping 192.168.1.5
    PING 192.168.1.5 (192.168.1.5) 56(84) bytes of data.
    From 10.1.0.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.1.5)
    From 10.1.0.1: icmp_seq=3 Redirect Host(New nexthop: 192.168.1.5)
    From 10.1.0.1 icmp_seq=1 Destination Host Unreachable
    From 10.1.0.1 icmp_seq=2 Destination Host Unreachable
    From 10.1.0.1 icmp_seq=3 Destination Host Unreachable
    From 10.1.0.1: icmp_seq=4 Redirect Host(New nexthop: 192.168.1.5)
    From 10.1.0.1: icmp_seq=5 Redirect Host(New nexthop: 192.168.1.5)
    
    --- 192.168.1.5 ping statistics ---
    5 packets transmitted, 0 received, +3 errors, 100% packet loss, time 4013ms
    , pipe 4
    root@vasek:/home/vasek# traceroute 192.168.1.5
    traceroute to 192.168.1.5 (192.168.1.5), 30 hops max, 52 byte packets
     1  10.1.0.1 (10.1.0.1)  7.824 ms  7.555 ms  6.295 ms
     2  10.1.0.1 (10.1.0.1)  3023.844 ms !H  3012.871 ms !H  3014.189 ms !H
    
    server:
    server:~# ip route list table main
    192.168.54.0/24 dev eth0  proto kernel  scope link  src 10.1.0.1
    10.2.0.0/24 dev eth0  proto kernel  scope link  src 10.2.0.4
    192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.4
    10.1.0.0/24 dev tap0  proto kernel  scope link  src 10.1.0.1
    default via 192.168.1.1 dev eth0
    
    server:~# ip route list table tab2
    default via 10.1.0.1 dev tap0
    
    server:~# ip rule
    0:      from all lookup 255
    201:    from 10.1.0.0/24 to 192.168.1.0/24 lookup tab2
    201:    from 192.168.54.0/24 to 192.168.1.0/24 lookup tab2
    201:    from all to 192.168.54.0/24 lookup tab2
    201:    from all to 10.1.0.0/24 lookup tab2
    32766:  from all lookup main
    32767:  from all lookup default
    
    31.5.2007 19:15 Martel
    Rozbalit Rozbalit vše tak teď už je v tom totální mrd.ník
    jaký adresy mají konce toho tapu. Zkus nějak nakreslit topologii tý sítě. A popsat co by to mělo dělat. co má být to rozhraní 10.2.0.4? síť 192.168.54.0 je fakt dosažitelná přez eth0?
    31.5.2007 22:59 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    192.168.1.0/24
    192.168.54.0/24 - klient 192.168.54.5
      |
    ROUTER
    eth0 192.168.1.1
    eth0:1 192.168.54.1
      |
    internet
      |
    ROUTER
    eth0 192.168.1.1
      |
    192.168.1.0/24
      |
    openvpn server
    eth0 192.168.1.4
    tap0 10.1.0.1
    
    
    Můj cíl je dostat se z 192.168.54.5 do 192.168.1.0/24 skrze openvpn server.
    31.5.2007 23:05 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Vítězství, už to jede, stačilo nahradit jeden řádek za 192.168.54.0/24 via 10.1.0.1 dev tap0 a odstranit tabulku tab2.
    31.5.2007 23:07 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Tak ne, byl to planý poplach, omylem jsem nechal po restartu serveru zaplou maškarádu :(
    31.5.2007 23:20 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    No tak jak je to nakreslené to určitě chodit nebude. 1. nějak nevidím na straně klienta konec sítě 10.1.0.X 2. na straně klienta je taky síť 102.168.1.X

    Proč to nepostavit jednoduše?

    eth0:192.168.54.X tun: 10.1.0.1 I I internet I I VPN server tun: 10.1.0.2 eth0: 192.168.1.Y ----------------------- PC 192.168.1.Z I----- PC I----- PC

    Vynechávám routery - skrz ně je třeba natovat provoz na VPN server (pokud není součástí hraničního routeru)
    31.5.2007 23:23 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    nějak jsem zapoměl na pre
    31.5.2007 23:22 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    No tak jak je to nakreslené to určitě chodit nebude. 1. nějak nevidím na straně klienta konec sítě 10.1.0.X 2. na straně klienta je taky síť 102.168.1.X

    Proč to nepostavit jednoduše?
    eth0:192.168.54.X
    tun: 10.1.0.1
       I
       I
    internet
       I
       I
    VPN server
    tun: 10.1.0.2
    eth0: 192.168.1.Y ----------------------- PC 192.168.1.Z
                                       I----- PC
                                       I----- PC
    
    
    Vynechávám routery - skrz ně je třeba natovat provoz na VPN server (pokud není součástí hraničního routeru)
    31.5.2007 23:29 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Ten klient má ještě samozřejmě jedno rozhraní tap0 10.1.0.2. A tak nějak jak jsi to nakreslil bych to chtěl, akorád, že vpn server je normálně součástí sítě, je píchlej do switche jako ostatní počítače, ty nejsou za ním.
    31.5.2007 23:31 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    To, že je za routrem nevadí, ale musíš provoz na jeho port Dnat-ovat skrz router (pokud teda nemáš další veřejné IP adresy).
    31.5.2007 23:35 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Ve firmě jsme měli (vlastně do půlnoci ještě máme) takhle propojenejch 20 poboček.
    31.5.2007 23:41 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Nakonfiguruj si normálně klasicky VPN tunel mezi 2 PC. Jedno PC bude vpn server. Aspoň jedno PC ale musí mít veřejnou adresu (nebo musíš udělat DNAT na jeho port). Pokud použiješ DNAT, musíš na druhé straně dát do confu parametr FLOAT. směrování nastavíš na routeru tak, že provoz na 192.168.54.0/24 bude přeposílat na vpn server.
    31.5.2007 23:50 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Z toho výpisu pingu u klienta vidíš, že vpn posílá klientovi zpátky ICMP paket s informací, že klient má přímé spojení se 192.168.1.5 Vpn se pak sám pokouší přeposlat paket na 192.168.1.5, což mu ale logicky nevyjde, protože 192.168.1.5 je na druhém konci tunelu. Protože ale máš síť 192.168.1.0 na obou koncích, nemá smysl posílat do ní paket tunelem.
    1.6.2007 00:04 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Já se potřebuju dostat do tý vzdálený sítě 192.168.1.0/24, nepotřebuju, aby se vzdálená síť dostala do mé sítě, stačí mi když se dostane ke mě, takže by 192.168.54.5 mělo stačit, na klientský straně je ta síť 192.168.1.0 jen kvůli kompatibilitě jednoho klienta, já jí vůbec jinak nepoužívám na klientský straně. Ale jinak, proč si to myslí, že 192.168.1.5 je i u klienta a nesnaží se to rvát přes tunel?
    1.6.2007 00:27 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    No to, že 192.168.1.5 je na klientský straně vyplývá z toho, že na klientský straně je taky síť 192.168.1.0. Nastuduj si, jak probíhá směrování v TCPIP. Pokud je síťová část cílové adresy paketu shodná se síťovou částí adresy některého rozhraní, je posílána přímo přez toto rozhraní.
    1.6.2007 06:39 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    No ale 192.168.1.5 v klientský síti ani není. A ani nemám standartně nastavený směrování do tý sítě.
    1.6.2007 10:34 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Jo, ale na LAN rozhraní klienta máš adresu ze sítě 192.168.1.0
    1.6.2007 10:53 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Tak teď jsem to asi špatně pochopil. Na klientu nemám ip adresu ze sítě 192.168.1.0, je sice fakt, že je spojenej přes stejnej switch ze sítí 192.168.1.0/24, ale všechno routování na 192.168.1.0/24 jde přece přes tap0.
    1.6.2007 14:27 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Tak jsem tu klientskou sít převedl kompletně na 192.168.54.0/24 a žádná změna, takže to tím nebylo.
    1.6.2007 20:26 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Ani podle originálního návodu to nejede. :( .............
    2.6.2007 08:24 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Mimochodem, proč ti nedělá VPN server přímo hraniční router s internetem (myslím tedy iGW)? Pokud je to píchlé do switche musíš přidat na iGW patřičná pravidla do iptables, aby byl veškerý provoz na port 1194 přesměrován na VPN stroj, ale ten stroj musí zároveň mít v routovací tabulce informace o všech subnetech se u tebe vyskytujících. Myslím, že kdybys udělal VPN přímo na iGW ubydou ti starosti. Možná to máš kvůli shapingu, ale to mě napadlo až teď.
    2.6.2007 08:18 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Rozepiš to laskavě pořádně. Nic jako eth0:1 neexistuje. Buď rád, že se diskuze neúčastní p. Kubeček. By ti dal. Smím vědět, proč máš na jednom rozhraní dvě IP adresy? Má to nějaký konkrétní smysl?
    2.6.2007 11:17 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Smysl to má dočasný kvůli 1 pc v síti a taky kvůli pokusům. Jinak vpn server je umístěn za routerem taky trochu z technických a blbostních důvodů, port je přesměrován a není shapován. Pokud udělám při pokusu nakonfigurovat openvpn server nějakou botu a openvpn server lehne, nepoznamená to důležitý router. A ty informace o subnetech, tím myslíš konkrétně udělat co?
    2.6.2007 16:45 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Tak jsem dal ten openvpn server na ten router a jsem na tom úplně stejně.
    2.6.2007 18:04 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Znova jsem si to prohlédl a napsal na papír a nechápu jednu věc. Takže ty máš na jenom konci internetu (tunelu) subnet 192.168.1.0/24 a na druhém konci internetu (tunelu) máš taky subnet 192.168.1.0/24. Pominu-li tu síť 192.168.54.0/24, kterou tam máš z pokusných důvodů, tak vidím na obou koncích tytéž subnety. To ti ale nebude chodit (leda bridge, ale v tom případě oba routery nesmí mít 192.168.1.1). Musíš na jednom konci prostě použít jiný subnet. Na pokusné IP subnety se vykašli a té mašině, se kterou to zkoušíš, dej normální IP z toho samého subnetu, který používáš normálně na síti. Jednak to zjednodušíš a je-li tam chyba, tak ji neuděláš. Zkus to a dej vědět.
    2.6.2007 18:21 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    kecám :-) to by platilo pro obyčejný P2P tunel :-)
    2.6.2007 18:28 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    EE, 192.168.1.0/24 na klientský straně je z pokusných důvodů. Ale teď už je to jedno, co jsem to dal na router a přidal volbu local, už to jede, díky za rady.
    2.6.2007 18:05 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    HHHUUURRRÁAA, už to jede. Stačilo v server.conf uvést local VER_IP_ADRESA.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.